Análisis y diseño de una estructura de seguridad informática empleando Cobit para Andinatel S A

Texto completo

(1)(Tlgo./Ing./Esp./MSc./PhD.). ESCUELA POLITÉCNICA NACIONAL FACULTAD DE INGENIERÍA ELÉCTRICA Y ELECTRÓNICA. ANÁLISIS Y DISEÑO DE UNA ESTRUCTURA DE SEGURIDAD INFORMÁTICA EMPLEANDO COBIT PARA ANDINATEL S.A.. PROYECTO PREVIO A LA OBTENCIÓN DEL TÍTULO DE INGENIERO EN ELECTRÓNICA Y REDES DE INFORMACIÓN. Nombre(s). CHRISTIAN ANÍBAL ROMERO ZÁRATE [email protected]. DIRECTOR: ING. TARQUINO SÁNCHEZ ALMEIDA [email protected] nmjb. Quito, marzo 2010. Octubre,2000.

(2) DECLARACIÓN. Yo Christian Aníbal Romero Zárate, declaro que el trabajo aquí descrito es de mi autoría; que no ha sido previamente presentada para ningún grado o calificación profesional; y, que he consultado las referencias bibliográficas que se incluyen en este documento.. La. Escuela. Politécnica. Nacional,. puede. hacer. uso. de. los. derechos. correspondientes a este trabajo, según lo establecido por la Ley de Propiedad Intelectual, por su Reglamento y por la normatividad institucional vigente.. _______________________ Christian Romero.

(3) 2. CERTIFICACIÓN. Certifico que el presente trabajo fue desarrollado por Christian Aníbal Romero Zárate, bajo mi supervisión.. ________________________ Ing. Tarquino Sánchez DIRECTOR DEL PROYECTO.

(4) 3. DEDICATORIA A mis padres, esposa y hermano por su apoyo incondicional y siempre sincero, los amo mucho..

(5) 4. CONTENIDO. RESUMEN ....................................................................................................................................................... 1 PRESENTACIÓN ........................................................................................................................................... 2 CAPÍTULO 1 ................................................................................................................................................... 3 1.1. INTRODUCCIÓN.......................................................................................................................... 3 1.2. LAS TELECOMUNICACIONES Y SUS INICIOS ....................................................................... 3 1.2.1. LAS TELECOMUNICACIONES EN EL ECUADOR .......................................................................... 5 Telefonía Local .................................................................................................................................................... 9 Telefonía de Larga Distancia Nacional ................................................................................................................ 9 Telefonía Internacional ...................................................................................................................................... 10 Telefonía Celular ................................................................................................................................................ 13. 1.3. SEGURIDAD DE LA INFORMACIÓN ...................................................................................... 15 1.3.1. ESTÁNDARES ISO DE SEGURIDAD .............................................................................................. 17 1.3.2. ÚTIL ................................................................................................................................................... 19 4.2.1. COBIT ........................................................................................................................................... 22 1.4. PRINCIPALES INCIDENTES DE SEGURIDAD ....................................................................... 28 CAPITULO 2: AUDITORIA AL PROCESO DS5 DE COBIT ................................................................ 37 2.1. INTRODUCCIÓN ............................................................................................................................. 37 2.1.1. DETERMINACIÓN DEL ALCANCE ................................................................................................ 37 2.1.3. DETERMINACIÓN de controles a aUDITAR ................................................................................... 43 2.1.4. PRESENTACIÓN de la auditoria ...................................................................................................... 48 2.2. AUDITORIA AL PROCESO DS5 “GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS” ........ 51 2.2.1. DS5.1 Administrar la seguridad de IT .............................................................................................. 51 2.2.2. DS5.2 Plan de seguridad IT ............................................................................................................... 53 2.2.3. DS5.3 Administración de identidades ................................................................................................ 55 2.2.4. DS5.4 Administración de las cuentas de usuario ............................................................................... 57 2.2.5. DS5.5 testeo de seguridad, vigilancia, y monitoreo ........................................................................... 59 2.2.6. DS5.6 Definición de Incidentes de Seguridad .................................................................................... 62 2.2.7. DS5.7 Protección de la seguridad tecnológica ................................................................................. 62 2.2.8. DS5.8 administración de llaves criptográficas .................................................................................. 63 2.2.9.DS5.9 Prevención de software malicioso, detección y corrección...................................................... 63 2.2.10. DS5.10 Seguridad en la red ............................................................................................................. 65 2.2.11. DS5.11 Intercambio de información sensible .................................................................................. 66 2.3. EVALUACIÓN DEL NIVEL DE MADUREZ DEL PROCESO DS5 “GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS” ......................................................................................................... 67 CAPITULO 3: MEJORAMIENTO DEL PROCESO DS5 ...................................................................... 69 3.1. PROPUESTA DE MEJORAMIENTO DEL PROCESO DS5 ...................................................... 69 3.1.1. Objetivo .............................................................................................................................................. 69 3.1.2. Alcance............................................................................................................................................... 69 3.1.3. DESCRIPCIÓN DEL PROBLEMA ACTUAL .................................................................................... 69 3.1.4. SOLUCIÓN PROPUESTA ................................................................................................................. 70 3.2. DESARROLLO DE LA PROPUESTA DE MEJORAMIENTO DEL PROCESO DS5 ................................... 76 3.2.1. POLÍTICA GENERAL DE SEGURIDAD .......................................................................................... 76 3.2.1.1. 3.2.1.2. 3.2.1.3. 3.2.1.4. 3.2.1.5.. Alcance: ........................................................................................................................................ 76 Objetivo: ....................................................................................................................................... 76 Marco Legal: ................................................................................................................................. 77 Concepto de seguridad de la información: .................................................................................... 77 Política: ......................................................................................................................................... 78.

(6) 5. 3.2.2. ............................................................................................................................................................ 79 3.2.2. POLÍTICAS DE SEGURIDAD ESPECIFICAS ............................................................................. 79 3.2.2.1. Administración de la Seguridad .................................................................................................... 79 3.2.2.2. Clasificación de la información ..................................................................................................... 81 3.2.2.3. Seguridad en el control de acceso ................................................................................................. 82 3.2.2.3.1. Manejo y utilización de passwords .......................................................................................... 83 3.2.2.3.2. Control de acceso con terceros................................................................................................. 85 3.2.2.3.3. Controles de acceso lógico ....................................................................................................... 86 3.2.2.4. Seguridad Física y Ambiental ....................................................................................................... 90 3.2.2.5. Seguridad en la Red ...................................................................................................................... 95 3.2.2.5.1 Red cableada e inalámbrica y uso de sus recursos. .................................................................. 95 3.2.2.5.2. Seguridad en la red inalámbrica ............................................................................................... 96 3.2.2.6. Seguridad de bases de datos, servidores, redes, lineamientos para los administradores ................ 98 3.2.2.6.1. Respaldos de información .......................................................................................................... 100 3.2.2.6.2. Mantenimientos de Equipos ................................................................................................... 100 3.2.2.6.3. Seguridad ambiental de equipos............................................................................................. 101 3.2.2.7. Seguridad en el sitio de trabajo ................................................................................................... 102 3.2.2.8. Seguridad de software ................................................................................................................. 103 3.2.2.8.1. Software no autorizado .......................................................................................................... 103 3.2.2.8.2. Virus y gusanos ...................................................................................................................... 104 3.2.2.9. Comunicación sobre incidentes y brechas de seguridad .............................................................. 105 3.2.2.10. Sanciones .................................................................................................................................... 106 3.2.2.11. Referencias a la ley ..................................................................................................................... 106 3.2.2.11.1. Correo Electrónico, Firmas Y Mensajes De Datos................................................................ 106 3.2.2.11.2. Ley de propiedad intelectual ................................................................................................. 111 3.2.2.11.3. Ley de transparencia y acceso a la información pública ....................................................... 116. 3.2.3.PROCEDIMIENTOS Y LINEAMIENTOS ......................................................................................... 120 3.2.3.1. Procedimiento de creación modificación y eliminación de cuentas de usuario. .......................... 120 3.2.3.2. Lineamientos para el establecimiento del proceso de manejo de incidentes de seguridad: ......... 124 3.2.3.2.1. Definición de incidentes de seguridad ................................................................................... 124 3.2.3.2.2. Mitigación del incidente......................................................................................................... 126 3.2.3.2.3. Investigación y análisis .......................................................................................................... 127 3.2.3.2.4. Reporte................................................................................................................................... 127 3.2.3.3. Guía para la clasificación de información en procesos críticos. .................................................. 128 3.2.3.3.1. Identificación ......................................................................................................................... 128 3.2.3.3.2. Análisis de Riesgos ................................................................................................................ 129 3.2.3.3.3. Entregable: ............................................................................................................................. 130. 3.2.4. SOLUCIONES DE SEGURIDAD .................................................................................................... 130 3.2.4.1. Administración y consolidación de logs ...................................................................................... 130 Antecedentes ............................................................................................................................................... 130 Situación Actual .......................................................................................................................................... 131 Alcance ....................................................................................................................................................... 132 Descripción del proyecto ............................................................................................................................ 132 3.2.4.2. Administración de identidades .................................................................................................... 139 Antecedentes ............................................................................................................................................... 139 Situación Actual .......................................................................................................................................... 140 Descripción del Proyecto ............................................................................................................................ 140 3.2.4.3. Protección de servidores en la red ............................................................................................... 146 Antecedentes ............................................................................................................................................... 146 Alcance ....................................................................................................................................................... 147 Descripción del proyecto ........................................................................................................................... 147 Prevención y Detección .............................................................................................................................. 148 3.2.4.4. Control de acceso en la red.......................................................................................................... 152 Antecedentes ............................................................................................................................................... 152 Alcance ....................................................................................................................................................... 153 Descripción del proyecto ........................................................................................................................... 153 Control de Acceso y compatibilidad ........................................................................................................... 155 Administración............................................................................................................................................ 156. 3.2.5. CONCIENCIACIÓN de seguridad al personal de la compañía ...................................................... 157 CAPITULO 4: ANÁLISIS DE COSTOS ................................................................................................. 160 4.1 4.2. 4.3. 4.4.. POLÍTICAS Y CONCIENCIACIÓN DE SEGURIDAD............................................................ 160 ADMINISTRACIÓN Y CONSOLIDACIÓN DE LOGS ........................................................... 161 ADMINISTRACIÓN DE IDENTIDADES ................................................................................ 163 PROTECCIÓN DE LA RED INTERNA (IPS Y NAC) .............................................................. 164.

(7) 6. 4.5. ANÁLISIS DE PÉRDIDAS RELACIONADOS CON TEMAS DE SEGURIDAD .................. 165 4.5.1. ANÁLISIS DE COSTOS PARA LOS PROYECTOS DE POLÍTICAS Y CONCIENCIACIÓN DE SEGURIDAD, ADMINISTRACIÓN Y CONSOLIDACIÓN DE LOGS, Y PROTECCIÓN DE LA RED INTERNA (IPS Y NAC). ............................................................................................................................. 166 4.5.1.1. 4.5.1.2.. Incidentes de seguridad ............................................................................................................... 166 Análisis de pérdidas de los incidentes de seguridad .................................................................... 168. 4.5.2. ANÁLISIS DE COSTOS PARA EL proyecto de ADMINISTRACIÓN de identidades ................. 170 4.6. FLUJO DE FONDOS NETO TOTAL ........................................................................................ 171 CAPITULO 5: CONCLUSIONES Y RECOMENDACIONES .......................................................... 175 5.1. 5.1.. CONCLUSIONES...................................................................................................................... 175 RECOMENDACIONES ............................................................................................................ 178.

(8) 1.

(9) 1. RESUMEN El presente trabajo se enmarca en el mejoramiento del proceso de seguridad en la Corporación Nacional de Telecomunicaciones (CNT, anteriormente conocida como Andinatel S.A.) mediante el desarrollo de una estructura de seguridad informática utilizando el CoBIT como marco de referencia. Esta estructura de seguridad informática es un conjunto de políticas, procedimientos y soluciones de seguridad.. Se determina en primera instancia el nivel de seguridad que en el momento del desarrollo del presente trabajo, posee la CNT. En base a la información recabada por la auditoria al proceso DS5 de CoBIT dentro de la institución, y enmarcada dentro de la Gerencia de TI (ex Vicepresidencia de Sistemas). La categorización de este nivel nos permitirá determinar cuánto debemos mejorar en el proceso de seguridad y el alcance de las políticas, procedimientos y soluciones de seguridad informática propuestas. Con estos datos e información podemos realizar un análisis de costos que nos permitirá determinar la viabilidad de la implementación de los proyectos propuestos en este trabajo.. En el capítulo 1 se describirá brevemente el desarrollo de las telecomunicaciones en el mundo haciendo una comparación con lo sucedido en el Ecuador para luego particularizar en el caso de la Corporación Nacional de Telecomunicaciones. Se expondrán los estándares de seguridad de la ISO, así como recopilaciones de buenas prácticas como ITIL para luego centrarnos en CoBIT. Analizaremos las principales amenazas que las empresas actualmente poseen. A continuación en el capítulo 2 realizaremos la auditoria al proceso de seguridad y en el capítulo 3 estableceremos, en base al nivel de madurez encontrado, las acciones a seguir para mejorar el nivel de seguridad. Con esta información en el capítulo 4 veremos el costo de implementación de lo propuesto en el capítulo 3, y terminaremos en el capítulo 5 con las conclusiones y recomendaciones del presente trabajo..

(10) 2. PRESENTACIÓN. La información se ha vuelto, en estos últimos años, en el activo más importante para la supervivencia de las empresas en el competitivo mundo actual, mucho más cuando sus operaciones están basadas en tecnología. Esta necesidad de información ha forzado a que las instituciones tomen medidas para precautelar su integridad, disponibilidad y confidencialidad, manejando esquemas de respaldos, controles de acceso y contingencias; sin embargo estas medidas podrían dar o no los resultados deseados en un tiempo determinado. Los estándares y “buenas practicas” ayudan a las organizaciones a dirigir sus esfuerzos en pos de mejorar el ambiente de control y la administración de las tecnologías de la información, en este contexto y para el caso de la seguridad informática existen los estándares ISO/IEC 17799, 2700x, además de buenas prácticas como el CoBIT e ITIL.. CoBIT nace justamente de la necesidad de alinear los objetivos de TI con los objetivos organizacionales implementando para tal efecto una serie de controles para cada proceso de tecnología, para nuestro caso el proceso DS5 denominado “Garantizar la seguridad de los sistemas”, en donde se resume una serie de sugerencias para obtener un resultado deseado: un manejo de información que le permita a la empresa alcanzar objetivos mediante un manejo adecuado de los riesgos tecnológicos.. Mediante la auditoria a los procesos siguiendo el marco referencial de CoBIT podemos establecer brechas que permitirán mejorar los procesos hasta un nivel deseado, mediante el establecimiento de directrices que se traducen en planes de acción. De esta manera los procesos de TI y el crecimiento de las tecnologías de la información así como su administración es mejorada y controlada, ya que permite establecer controles que minimizan riesgos para la consecución de objetivos o metas organizacionales. El éxito de la organización depende en gran medida de que se entienden los riesgos y se aprovechan los beneficios de las tecnologías de la información..

(11) 3. CAPÍTULO 1 1.1. En. INTRODUCCIÓN el. presente. capitulo. se. realizará. una. reseña. histórica. de. las. telecomunicaciones en el mundo y como éstas se desarrollaron en el Ecuador. Revisaremos como se conformaron las empresas de telecomunicaciones en el país hasta convertirse en la actualidad en una sola: la Corporación Nacional de Telecomunicaciones. Revisaremos como las empresas que basan sus procesos de negocio en tecnología sufren de incidentes relacionados con la seguridad informática, y revisaremos como las empresas hacen frente a esta problemática mediante la implementación de procesos relacionados con el manejo y administración de tecnología y seguridad.. 1.2.. LAS TELECOMUNICACIONES Y SUS INICIOS. Ya han pasado más de 177 años cuando Paul von Schilling en 1832 recogió las experiencias de varios científicos para producir el telégrafo electroquímico que enviaba mensajes entre varias estaciones de tren, la eficiencia en ese entonces suponía una velocidad de transmisión superior a la velocidad de los trenes que en aquella época bordeaba los 45Km/h para que la comunicación tenga algún sentido. Un año más tarde Wilhelm Weber y Carl Frederich Gauss construyen el telégrafo con aguja electromagnética y logran comunicar a la Universidad de Gatinga con el Observatorio Astronómico ubicado en la misma ciudad. Los mensajes eran enviados y recibidos de acuerdo al movimiento de la aguja, el cual era producido por una bobina a la cual se la exponía a cambios de corriente eléctrica.. El salto más importante en la historia de la telegrafía lo da un pintor, Samuel Finley Morse. En sus viajes por Europa conoció los primeros telégrafos y en el viaje de regreso, a través del Atlántico, diseñó un sistema de transmisión a través de un código que reducía de manera significativa la cantidad de signos y letras que se transmitían a través de los medios de comunicación telegráfica aumentando así su eficiencia. Esta clara intuición semántica basada en puntos y rayas (vibraciones cortas y largas) que se trasmitían en un solo alambre, permitió.

(12) 4. que el 24 de mayo de 1844 (exactamente 12 años después de la batalla de pichincha para ponernos en un contexto histórico nacional), transmitir el primer mensaje que decía “lo que Dios ha hecho” recibido en Baltimore y enviado desde Washington en los Estados Unidos de Norteamérica.. En una especie de Internet primigenia, la red telegráfica se expandió en todo el territorio Norte Americano desde el año 1845. 6 años más tarde en Inglaterra se tendió el primer cable submarino para unir los puertos de Dover y Calais ubicado en Francia. Con toda la experiencia acumulada en cuanto al aislamiento de los cables, su reforzamiento y el debilitamiento de las señales experimentado en esta primera instalación, en 1858 gracias a la ayuda de los buques Agamemnón y Niágara, se tendió el primer cable trasatlántico telegráfico en una distancia de 3240 Km. 1. En América del Norte por su parte se instalo el primer cable intercontinental uniendo Cuba y la Florida en el año 1867 trabajo realizado por parte de la empresa Central and South American Cable Company2; la misma que 4 años más tarde instalaría la primera línea telegráfica en el Ecuador.. El 4 de julio de 1876, luego de 5 meses de la polémica de patentes, Alexander Graham Bell presentó su invento con la presencia de pocas personas. Luego de ganar el derecho de explotar su invento fundó la empresa Bell Telephone Company que para 1891 controlaba más de 240.000 teléfonos3. Esta tecnología permitía la conexión punto a punto, es decir, se tenía que instalar tantas líneas como puntos de comunicación se querían tener. La primera central telefónica comenzó a operar en 1878 en New Haven (cuando estábamos en el Ecuador. 1. Datos históricos tomados de la página del profesor Luis Enrique Otero Carvajal, Profesor Titular de Historia Contemporánea. Universidad Complutense. Madrid. España “EL TELÉGRAFO ELÉCTRICO”, http://www.ucm.es/info/hcontemp/leoc/telegrafo%20electrico.htm 2 Empresa fundada por James Scrymser en el año1881, para el año 1920 el nombre de la empresa fue cambiado a All American Cables. 3 Tomado de AT&T Corp history, http://ecommerce.hostip.info/pages/59/AT-T-Corp-EARLY-HISTORY.html.

(13) 5. montando la red telegráfica), sirviendo a 21 abonados y con 8 líneas individuales es decir se compartía el canal en una proporción aproximada de 3 a 1. 4. Las conversaciones en este esquema sufrían de falta de confidencialidad ya que eran susceptibles a que los operadores puedan escucharlas,. además de la. lentitud de los mismos en atender y enrutar las llamadas a su destinatario cuando tenían un gran flujo de trabajo. A partir de esta situación se inventó un sistema de conmutación que ya no tenía la intervención de los operadores sino más bien era activado por los abonados.. En el año 1889 Almon Strowger propietario de una funeraria en Kansas, Estados Unidos, debido a que las llamadas eran desviadas a su competencia cada vez que se solicitaba algún servicio funerario por medio de las líneas telefónicas, decidió inventar un método bajo el cual el direccionamiento de las llamadas no dependiera de las operadoras telefónicas. El sistema se basaba en discos que hacían la vez de interruptor y dirigían la llamada hacia su destino, este sistema entro en funcionamiento en Estados Unidos en el año de 1893. Para el año de 1910, 132 poblaciones contaban con el servicio automático de conmutación telefónica dando servicio a más de 200.000 abonados5. En el Ecuador la historia de la telegrafía y telefonía empezó a escribirse con el gobierno de Gabriel García Moreno.. 1.2.1. LAS TELECOMUNICACIONES EN EL ECUADOR Gabriel García Moreno en su segundo periodo Presidencial 1869-1875 decide impulsar el proyecto de comunicación telegráfica en el país mediante 2 ejes primordiales las comunicaciones a través de la instalación del telégrafo, y a través del ferrocarril. En 1873 comienza la construcción de las rieles entre Quito y Guayaquil, la idea para la transmisión de mensajes telegráficos constituía en 4. Tomado de la página web de la AHCIET, Asociación Iberoamericana de Centros de Investigación y Empresas de Telecomunicaciones, http://www.ahciet.net/historia/pais.aspx?id=10150&ids=10682. 5. Tomado de http://worldoffice.wordpress.com/2009/12/30/voz-datos-y-calor/.

(14) 6. instalar paralelamente a las líneas férreas los cables telegráficos. En el año de 1875 funcionó por primera vez el telégrafo entre Yaguachi y Milagro en una distancia comprendida por 44.6 Km. La muerte de Gabriel García Moreno retrasaría la Obras de construcción de este proyecto.6. El telégrafo que se instalaba en ese entonces en el Ecuador no poseía las capacidades de transmisión que había impuesto el código Morse, más bien se trataba de un modelo que ya había dejado de usarse en otras partes del mundo y se basaba en la identificación de letras o cifras por medio del movimiento electromagnético de una aguja, se usaba además 2 cables para la transmisión una para el mensaje de ida y otra para el mensaje de vuelta.. En el periodo presidencial comprendido entre 1876 y 1883, el general Ignacio Veintimilla continúo con el proyecto y en 1882 ya se había llegado hasta puente de Chimbo, además se sustituyo el sistema antiguo por el sistema de Morse y la utilización de un solo cable para la transmisión con el retorno de la corriente por tierra y se trabajo en la comunicación con el mundo por medio del tendido de cable entre Salinas y Panamá por medio de la misma empresa. En el año 1884 ya se había transmitido el primer mensaje entre Quito y Guayaquil, al mismo tiempo que gracias a las conexiones internacionales ya instaladas el presidente Caamaño pudo enviar un mensaje al presidente de los Estados Unidos, Chile y Perú.. Luego de la construcción de estas redes telegráficas surgió una gran interrogante ¿Quién operaria los equipos? En ese entonces no existía el personal calificado para manipular la nueva tecnología implementada, es por esta razón que el primer grupo de personas con las habilidades y conocimiento que operaron el telégrafo en el Ecuador fueron 3 peruanos y 1 cubano.. 6. Tomado del “Compendio histórico de las telecomunicaciones en el Ecuador” elaborado por la Superintendencia de Telecomunicaciones en agosto de 2007..

(15) 7. Si bien el telégrafo para el 1892 contaba ya con una red de alrededor de 15 mil kilómetros montados sobre el territorio ecuatoriano los mensajes no podían ser distribuidos para la mayoría de los ecuatorianos ya que los mensajes eran transmitidos y recibidos en las oficinas donde se disponía de los equipos de transmisión y recepción. Esto contribuyó a que en 1920 se creará una nueva profesión la de “Mensajeros Ciclistas” que suponía que entre 15 y veinte minutos, luego de recibido el mensaje, este sería entregado a su destino.. En el Ecuador la primera central telefónica se instaló en el año 1900, y en el año 1904 el presidente Leonidas Plaza Gutiérrez dicta un reglamento provisional para la instalación de líneas privadas. El 9 de Octubre de ese mismo año entró en funcionamiento la Compañía Nacional de Teléfonos en Guayaquil con 400 abonados y el 17 de noviembre de 1915 se implementó la primera planta telefónica en Quito. Gracias a un acuerdo con la empresa Telegráfica “The Guayaquil and Quito Railway Co.” se pudo realizar llamadas de larga distancia a todas las ciudades que estaban en los alrededores de las líneas férreas7.. Un nuevo sistema traído por la empresa Ericsson se implementó en Quito hacia el año 1927, para lo cual se construyó el Palacio de las Telecomunicaciones, actualmente donde se ocupa la Vicepresidencia de la República. El sistema de conmutación automático fue implementado en la ciudad de Quito y Guayaquil gracias nuevamente a la empresa Ericsson en el año de 1947. 2 años más tarde se creó la Empresa de Teléfonos Quito, para administrar el sistema automático. En Guayaquil la empresa se llamó Empresa de Teléfonos Guayaquil el servicio se inicio formalmente en el año 1955 con 2300 abonados.8. El mundo de las telecomunicaciones tuvo un gran salto debido al desarrollo de la transmisión Satelital, que mediante satélites ubicados en orbitas geoestacionarias. 7. Tomado del “Compendio histórico de las telecomunicaciones en el Ecuador” elaborado por la Superintendencia de Telecomunicaciones en agosto de 2007. 8 Tomado del “Compendio histórico de las telecomunicaciones en el Ecuador” elaborado por la Superintendencia de Telecomunicaciones en agosto de 2007..

(16) 8. permitían la comunicación en diferentes partes del mundo. Un proceso que fue iniciado por la Unión Soviética de ese entonces, en los inicios de la guerra fría por medio de la fabricación del Sputnik 1, pequeño artefacto de 80 Kg. que orbitaba entre 200 y 900 Km. emitiendo señales de radio y desintegrado al intentar ingresar a la atmósfera el 3 de enero 1958.. En febrero de 1971 se dicta una ley mediante la cual se crean dos empresas adscritas al Ministerio de Obras Públicas y Comunicaciones: la Empresa de Telecomunicaciones del Norte, con jurisdicción en las provincias de Esmeraldas, Carchi, Imbabura, Pichincha, Cotopaxi, Tungurahua, Chimborazo, Bolívar, Napo y Pastaza y la Empresa de Telecomunicaciones del Sur, con jurisdicción en las provincias de Manabí, Los Ríos, Guayos, El Oro, Cañar, Azuay, Loja, Morona Santiago y Zamora Chinchipe.. No sería hasta el 19 de octubre de 1972 que se instala la primera estación terrena en Guangopolo al sur de Quito, una antena de 30 metros de diámetro y 300 toneladas de peso, previo concurso de licitación convocada por las empresas de telecomunicaciones del Norte y del Sur en donde se solicito además red nacional de microondas y una red nacional de Telex gentex. 9. El 16 de octubre de 1972 el Gobierno Nacional, mediante Decreto Supremo crea el Instituto Ecuatoriano de Telecomunicaciones (IETEL) resultado de la fusión de las empresas de telecomunicaciones del Norte y del Sur y la Dirección Nacional de Frecuencias. El IETEL se creó con la finalidad de planificar, desarrollar, establecer, explotar, mantener, controlar y regular todos los sistemas de telecomunicaciones nacionales e internacionales, exceptuando únicamente los de las Fuerzas Armadas y la Policía.. En ese entonces se tenían los siguientes servicios: 9. Tomado del “Compendio histórico de las telecomunicaciones en el Ecuador” elaborado por la Superintendencia de Telecomunicaciones en agosto de 2007..

(17) 9. Telefonía Local El Ecuador a diciembre de 1972, disponía de 128,000 líneas de central (LC), 123.000 a cargo del IETEL y 5.000 de ETAPA. Un total de 120.542 (LP) líneas principales en servicio para 6.432.199 habitantes daban como resultado una densidad telefónica de 1,87 LP por cada 100 habitantes.. Durante el período 1973 a 1979 se instalaron 129.750 LC, con lo cual el país a diciembre de 1979 disponía de 257.750 LC y 213.972 LP, obteniéndose una densidad telefónica de 2,7. Del total de líneas de central, el 36,8% se concentraba en Quito, el 38,4% en Guayaquil, el 3,8% en Cuenca y el 22% en diferentes áreas del país.. En el período de 1980 1984 no se instalaron nuevas centrales, sino que se utilizó en forma inadecuada la capacidad instalada llegando a superar el 94% de ocupación, lo que ocasionó problemas técnicos y administrativos. Al finalizar el se alcanzó una densidad de 3,03%.. De 1985 a 1989 se reinició la instalación de nuevas centrales, lo que permitió incrementar la tasa de crecimiento anual y el país tenía una densidad de 4,2%. Durante 1990 la densidad telefónica alcanzó un valor de 4,4%. Telefonía de Larga Distancia Nacional En 1979 el tráfico de larga distancia se cursaba mediante las centrales de tránsito instaladas una en Quito, con una capacidad de 2.000 terminales, y otra en Guayaquil, con una capacidad instalada de 1.600. La capacidad de las centrales de tránsito no eran suficientes para cursar el tráfico telefónico de larga distancia, lo que producía una alta congestión y, en consecuencia, una gran cantidad de llamadas se perdían. Esto obligo que durante el período 1980 1984 se incrementaron las capacidades de las centrales de tránsito y pasos de larga distancia en 2.400 terminales, con lo cual se contaba al final del período con 6.000 terminales..

(18) 10. En el período 1985 1989 se instalaron nuevas centrales de tránsito digitales en Quito, Guayaquil y Cuenca, con una capacidad al final del período de 11.370, 13.300 y 2.048 terminales respectivamente. Telefonía Internacional En 1974 se puso en servicio la central de tránsito internacional con una capacidad de 200 terminales. En el período de 1975-1980 se incrementó esta central a 800 terminales. Esta capacidad se mantuvo en el período 1980 1984 y entre 1985 a 1989 se incrementó a 1.000 terminales.. En 1971 el Ecuador es aceptado como miembro de INTELSAT y un año más tarde se integra a las comunicaciones vía satélite, cuando entró en servicio la Estación Terrena instalada en Quito, con una capacidad inicial de 36 circuitos, de los cuales se utilizaban 24.. La demanda del servicio telefónico internacional se incrementó rápidamente siendo necesaria en 1976 la ampliación de 120 circuitos y en 1978 a 156 circuitos. A diciembre de 1979 se encontraban en servicio 135 circuitos, de los cuales 122 eran para telefonía y 13 para datos y telegrafía. A diciembre de 1984 se disponía de 284 circuitos y de un equipo para transmitir señales de televisión hacia el satélite y a diciembre de 1989 de 390 circuitos.. En el período 1980 1984 se tomó la decisión de iniciar en forma sistemática la adquisición de centrales de tecnología digital. Se contrataron 73.500 líneas de centrales locales digitales para las ciudades de Quito, Guayaquil y la provincia de Bolívar, para cuyo funcionamiento se contrató también aproximadamente 18.000 líneas de central de tránsito digital para las ciudades de Quito, Guayaquil y Cuenca..

(19) 11. En 1988 y 1989 se ampliaron algunas centrales digitales y se instalaron nuevas centrales de la misma tecnología en otras ciudades del país, alcanzándose un porcentaje de digitalización del 43%. ETAPA, explotadora del servicio telefónico en la ciudad de Cuenca inició la digitalización de su red en el año 1987. Las ciudades de Quito, Guayaquil y Cuenca disponían de redes digitales superpuestas a las analógicas que serán absorbidas en los próximos años.. La Ley Especial de Telecomunicaciones, publicada en el Registro Oficial 996 de 10 de agosto de 1992 crea la Empresa Estatal de Telecomunicaciones (EMETEL) y la SUPTEL, en sustitución del Instituto Ecuatoriano de Telecomunicaciones (IETEL), organismo público que cumplía el doble papel de operador y regulador. Posteriormente, la Ley Reformatoria del 30 de agosto de 1995, llevó a cabo una reestructuración en el sector con la delegación de la explotación de los servicios en el sector privado, y estableciendo como instrumento de tal proceder la transformación de Emetel con la posterior venta parcial de paquetes accionarios. Esta Ley también creó el Consejo Nacional de Telecomunicaciones (CONATEL), para ejercer las funciones de administración y regulación de los servicios de tele comunicaciones en el país. Decretando igualmente la creación de la Secretaría Nacional de Telecomunicaciones (S.N.T.), que tiene, entre otras, las funciones de cumplir y hacer cumplir las resoluciones del CONATEL, así como ejercer la gestión y administración del espectro radioeléctrico.. En ejecución del plan legal, Emetel se transformó en EMETEL S.A., y, posteriormente, el 18 de noviembre de 1997, se escindió en dos compañías regionales, ANDINATEL y PACIFICTEL. Una vez concluida la segregación se había programado realizar una subasta del 35% de las acciones de cada una de las compañías resultantes de la misma. Pasarían 11 años para que estas 2 nuevas empresas vuelvan a unirse en una única empresa denominada Corporación Nacional de Telecomunicaciones S.A..

(20) 12. La Corporación Nacional de Telecomunicaciones se creó mediante escritura pública, el 1 de Octubre de 2008, y fue aprobada mediante Resolución 08.Q.IJ.4458 emitida por la Superintendencia de Compañías. En la actualidad la CNT S.A. abarca el 90% del mercado de telefónica fija, la siguiente la Fig 1.1 nos muestra las estadísticas actuales de distribución de abonados:. Telefonía Fija, de un total de 1´979.991 usuarios:. Fig 1.1 Abonados en la telefonía fija. El 28 de Octubre de 20087 el Presidente de la República, Rafael Correa, firmó el decreto mediante el cual se crea el nuevo Ministerio de Telecomunicaciones y de la Sociedad de la Información. Esta nueva cartera de Estado se encargará de la formulación de políticas públicas en materia de información; así como de la coordinación de las instituciones públicas y privadas en materia de investigación científica y tecnológica. El secretario Jurídico de la Presidencia, Alexis Mera, adelanta además que se fusionará el Consejo Nacional de Radio y Telecomunicación, (Conartel) con el Consejo Nacional de Telecomunicaciones (Conatel). Asimismo, las funciones administrativas que ejercía el presidente del Conartel. ahora. serán. ejecutadas. por. la. Secretaría. Nacional. de. Telecomunicaciones (SENATEL).Parte de las competencias de este ministerio es.

(21) 13. promocionar el uso del Internet y de las tecnologías de la información. Además de hacer un seguimiento y supervisión de las empresas del Estado dedicadas a telecomunicaciones y tecnologías de información. 10. Aunque las modificaciones realizadas hasta el momento habían permitido la transformación del modelo de telecomunicaciones, el Gobierno de Gustavo Noboa decidió, en marzo de 2000, reformar de manera sustancial la Ley de Telecomunicaciones al abrir, de acuerdo a la Ley Para la Transformación Económica, todos los servicios a la libre competencia. Esta apertura del mercado fue fijada para el 1 de enero de 2002.. El 2 de enero de 2002, se hizo oficial la Apertura del Mercado de las Telecomunicaciones, que inicia la libre competencia con el proceso de subasta de las redes de acceso inalámbrico de tecnología Wireless Local Loop (WLL).. Telefonía Celular. A finales de 1993, se inicia el servicio de telefonía celular en el país con la entrada en el mercado de Conecel S.A. (Porta Cellular) y Otecel S.A. (actualmente Movistar).. Aunque el 2 de agosto de 1993 se formalizó la asignación de la banda A a Conecel S.A. (Porta Cellular), no fue sino hasta diciembre cuando el presidente de la República del Ecuador, Sixto Durán Ballén, realiza la primera llamada oficial desde Conecel S.A. (nombre de la razón social de la compañía) en Guayaquil.. 10. Nota del Universo, del martes 28 de octubre de 2008, “Fusión telefónica crea la nueva CNT” Noticias Políticas y planes de acción.

(22) 14. Ya en 1994, Conecel, más conocida por su nombre comercial “Porta”, supera sus expectativas de obtener 2.000 abonados en Quito y 3.000 en Guayaquil, llegando a 14.000 a finales de año. En 1996 esa cifra se eleva a 33.000, y a 50.000 en diciembre de 1997. 11. En julio de 1998, la operadora empieza a ofrecer servicios de Internet, mientras que en marzo de 2000, Telmex, empresa líder en telecomunicaciones de Latinoamérica y una de las principales empresas mundiales, adquiere el 60% de la participación accionarial de Conecel, impulsando un agresivo programa de inversiones dirigido a ampliar la cobertura y modernizar la red de Porta.. El 24 de agosto de 1998, se publica la Resolución de Conatel No. 421-27, en la cual se aprueba el Reglamento para el Servicio de Telefonía Móvil Celular, principal competencia para el servicio de telefonía fija.. En septiembre de ese año, Porta pasa a depender de la mexicana América Móvil, filial de Telmex, lo que le permite alcanzar los 405.000 usuarios en 2001, consolidando su posición en el mercado ecuatoriano.. Por su parte, Otecel S.A. inició operaciones en la banda B, en enero de 1994, utilizando tecnología TDMA suministrada por Ericsson. La adquisición de su mayoría accionarial por Bellsouth en marzo de 1997 le permitió aumentar sus abonados en casi un 100% en tan solo un año (período 1997-1998).. La figura 1.2 muestra la distribución de los principales operadores del país, con relación a 12´352.000 usuarios entre abonados postpago y prepago, a principios de 2010:. 11. Tomado de la página web oficial de la SUPERTEL, Superintendencia de Telecomunicaciones del Ecuador..

(23) 15. Fig 1.2 Abonados en la telefonía celular. Este rápido crecimiento de los servicios de Internet, telefonía móvil y telefónica fija a obligado a las empresas del Ecuador a invertir fuertes cantidades de dinero en busca de acaparar el mercado. La telefonía fija ha tenido a lo largo del tiempo un solo proveedor del servicio a manos del estado, mientras que la telefonía móvil o celular ha tenido la participación extrajera resumida en 2 grandes empresas que acaparan más del 95% del mercado ecuatoriano.. 1.3.. SEGURIDAD DE LA INFORMACIÓN. Todas las empresas señaladas con anterioridad poseen algo en común, sus operaciones basan su accionar en tecnología, se apoyan en ella y de ella dependen para alcanzar sus objetivos estratégicos. Debe existir entonces una completa sinergia entre los objetivos de una empresa y la tecnología que la soporta. La información y la tecnología relacionada son los activos más valiosos de las empresas, transformándose así en un elemento crítico para el éxito y la supervivencia de las organizaciones, dependiendo necesariamente de una administración efectiva de las tecnologías de la información..

(24) 16. La información es uno de los activos más importantes que tiene una empresa así como el recurso humano o el capital. Cada uno de estos activos es administrado ya sea por una área de recursos humanos, por departamentos financieros. Pero la información, y no hasta hace mucho, ha sido relegada de su importancia como factor crítico para la supervivencia de las organizaciones y el cuidar de este activo se vuelve más importante y necesario así como su gestión y continuo mejoramiento.. Hay numerosos cambios en el entorno de TI y en su ambiente de operación que enfatiza la necesidad de un mejor manejo de los riesgos tecnológicos. La dependencia de la información electrónica y los sistemas de TI son esenciales para soportar los procesos críticos del negocio. Adicionalmente, el ambiente regulatorio demanda control estricto sobre la información. Esto a su vez conduce a un incremento de los desastres en los sistemas de información y al incremento del fraude electrónico. Por lo tanto se ve la necesidad de protección de los activos de información.. El advenimiento del intercambio electrónico a través de los proveedores de Internet y directamente con los clientes, la pérdida de barreras organizacionales a través de herramientas remotas y la exposición a riesgos de seguridad de alto impacto tales como virus, ataques de denegación de servicio, intrusiones, acceso no autorizado, revelación y robo de números de tarjetas de crédito a través de Internet han elevado el perfil de riesgo de la información y de la privacidad y con esto la necesidad de gestionar con eficacia la seguridad de la información.. La seguridad de la información se basa en tres pilares fundamentales: a) Confidencialidad.- Protección de la información sensible contra divulgación no autorizada, b) Integridad.- Precisión y suficiencia de la información, así como a su validez de acuerdo con los valores y expectativas del negocio..

(25) 17. c) Disponibilidad.- La información disponibilidad de la información cuando ésta es requerida por el proceso de negocio ahora y en el futuro. También se refiere a la salvaguarda de los recursos necesarios y capacidades asociadas.12. Dentro de estos preceptos se han enmarcado algunos de los más importantes métodos y metodologías relacionadas con la seguridad de la información y de los cuales nos referiremos a continuación: -ESTÁNDARES ISO DE SEGURIDAD -ITIL -COBIT 1.3.1. ESTÁNDARES ISO DE SEGURIDAD. Uno de los primeros estándares en recopilar una serie de buenas prácticas en relación a la seguridad de la información son las normas BS779913 que luego tomaron el nombre de ISO/IEC 17799.. En esta norma existe una nuevas. definiciones con relación a lo que expone CoBIT con respecto a la confidencialidad integridad y disponibilidad de la información: a) Confidencialidad.- Aseguramiento de que la información es accesible solo para aquellos autorizados a tener acceso. b) Integridad.- Garantía de la exactitud y el contenido completo de la información y los métodos de su procesamiento. c) Disponibilidad.- Aseguramiento de que los usuarios autorizados tienen acceso cuando lo requieran a la información y sus activos asociados,14. 12. Conceptos tomados del Marco de Referencia CoBIT, del IT Governance Institute 3ra edición Por sus siglas en ingles British Stándard. Fue creado por el British Standard Institute en el año de 1995. 14 Tomado de la norma ISO/IEC 17799:2005, creado por la organización Internacional para la Estandarización/Normalización 13.

(26) 18. La norma 17799:2005 recopila 127 objetivos de control divididos en 11 áreas que detallo a continuación: Dominios. Descripción de los dominios de la norma 17799:2005. Política de seguridad. Dirigir y dar soporte a la gestión de la seguridad de la información.. Aspectos organizativos de la seguridad. Gestionar la seguridad de la información dentro de la organización.. Administración de activos. Mantener una protección adecuada sobre los activos de la organización.. Seguridad ligado al personal. Reducir los riesgos de errores humanos, robos, fraudes o mal uso de las instalaciones y los servicios.. Seguridad física y ambiental. Evitar accesos no autorizados, daños e interferencias contra los locales y la información de la organización.. Gestión de comunicaciones y operaciones Control de accesos:. Asegurar la operación correcta y segura de los recursos de tratamiento de información. Controlar los accesos a la información.. Desarrollo y mantenimiento de sistemas Asegurar que la seguridad esté imbuida dentro de los sistemas de información. Gestión de continuidad del negocio. Administración de los incidentes de seguridad de la información. Cumplimiento. Reaccionar a la interrupción de actividades del negocio y proteger sus procesos críticos frente a grandes fallos o desastres. Asegurar una correcta administración de los incidentes de seguridad, reporte manejo y cierre. Evitar los incumplimientos de cualquier ley civil o penal, requisito reglamentario, regulación u obligación contractual, y de todo requisito de seguridad.. Tabla 1.1, descripción de los dominios de la norma de seguridad ISO/IEC 17799:2005. Esta norma no es certificable pero brindaba un buen comienzo acerca de los controles a implementar en una organización que busca proteger sus activos de información. En el año 2005 este mismo organismo remitió los estándares certificables para las empresas a los estándares de calidad ISO 9000, en cuanto a la certificación y su.

(27) 19. forma de obtenerla, a estos se los denominaría estándares ISO 27000 que en su esencia poseen los mismos controles que la norma 17799. A continuación una breve explicación: Normas ISO 2700X. Componente principal. ISO/IEC 27001. BS7799-2. ISO/IEC 27003. ISO/IEC 17799 &BS7799-1 BS7799-3. ISO/IEC 27004. BS7799-4. ISO/IEC 27002. Nombre Sistema de Administración de la Seguridad de la Información Código de Práctica Análisis de Riesgos Métricas y medidas para la seguridad de la información. Tabla 1.2, enumeración de las normas 2700X. Así como las certificaciones ISO de calidad, las de seguridad se obtienen pasando un checklist donde se enumeran los controles que dicta la norma. Al final de la revisión se tiene una lista de controles faltantes para poder ser certificados, las recomendaciones basan su criterio en la implementación del control faltante siguiendo las directrices dictaminadas en el estándar. 1.3.2. ITIL Creado a finales de la década de los 80´s por la empresa CCTA (Central Computer And Telecommunication Agency, por sus siglas en ingles), del Reino Unido luego de que el proyecto TAURUS II auspiciado por el gobierno de ese entonces fracasará gastando alrededor de 20 millones de dólares15, su objetivo principal crear una metodología para gestionar los procesos de tecnologías de la información. En la actualidad está regulado y patentado por el Ministerio de Comercio (OCG, antes denominado CCTA) del Reino Unido. Se puede resumir el desarrollo de ITIL de la siguiente manera:. 15. El proyecto Taurus ha sido bien documentado como generalmente se hace con proyectos realizados con fondos públicos, TAURUS son las siglas de TRANSFER AND AUTOMATED REGISTRATION OF UNCERTIFICATED STOCK, cuyo objetivo era la eliminación de papeles en las transacciones de la bolsa de Londres. Luego del fracaso de este proyecto el Gobierno Británico encargaría el proyecto a la CCTA para encontrar las prácticas exitosas en la gestión de servicios..

(28) 20. Año 1986. Descripción. 1989. Primeras publicaciones de ITIL versión 116. 1991 2000. Fundación del grupo de usuarios Nace ITIL V2. 2007. Publicación de ITIL V3. Inicia el desarrollo de ITIL. Tabla 1.3, historia del desarrollo de ITIL. 17. Es una biblioteca que documenta las buenas prácticas de la gestión de servicios de TI, toda la experiencia de las empresas que han tenido éxito en la implementación de procesos de TI se encuentra condensada en esta recopilación.. Existen en la actualidad 2 versiones de ITIL que son ampliamente difundidas e implementadas la versión 2 y 3 de. La versión 2 del ITIL se encuentra resumida en 7 libros: a) Prestación de Servicios b) Soporte al Servicio c) Gestión de la infraestructura de TI d) Gestión de la seguridad e) Perspectiva de negocio f) Gestión de aplicaciones g) Gestión de activos de software La versión 3 de ITIL, por su parte posee 5 libros: a) Estrategia del Servicio b) Diseño del Servicio c) Transición del servicio d) Operación del Servicio 16. Inicialmente denominado GITMM,Government Information Technology Infraestructure Management Metodolgy. Las letras G y M del acrónimo son eliminadas debido a que quieren ampliar su adopción. No quieren que se la vea como una metologia sino como una Guía, y no solo es gubernamental sino de alcance mundial. 17 Tomado de la pagina http://www.itservicestrategy.com/itil-v2-itil-v3-and-iso-2000-history-and-timeline, de la empresa IT Service Estrategy..

(29) 21. e) Mejoramiento continuo del servicio Pero la mayor diferencia entre las 2 versiones está en la visión del ciclo de vida que se introduce en la versión 3.18 ITIL en general tiene 4 pilares fundamentales: a) Procesos: para alinear el negocio y la gestión de servicios e TI mediante la mejora constante de los procesos. b) Calidad: basadas en los procesos y con las medidas y mejoras de los mismos, estos se alinean con normas de calidad y ayudan a la misma c) Cliente: es beneficiario directo de la mejora de los servicios d) Independencia: manteniendo las buenas prácticas independientes de los fabricantes marcas o tecnología. La adopción de estas buenas prácticas no garantiza que algo funcione bien, sino que nos da una gran probabilidad de que eso ocurra. Estas adopciones de buenas prácticas por lo regular devienen en la obtención de certificaciones que avalan la adopción y la correcta implementación de las mismas, algo que a las empresas les encanta obtener para mostrarlo a sus clientes e. ITIL es la. excepción.. La certificación ITIL no se la obtiene directamente de la OCG, se la obtiene a través una vez más de la ISO19 o a través de los estándares BS: a) BS-15000 acreditada por el British Standards Institute desde el año 2000. Representa el estándar de la industria para las organizaciones que desean medir y probar sus competencias en la provisión y soporte de la gestión de servicios de TI. 18. Tomado del articulo ITIL V2, ITIL V3 ò ISO 20000?, de Javier Garcia Arcal, Gerente de ITIL/WORKFLOW, http://www.docstoc.com/docs/8570768/%C2%BFITIL-V2-ITIL-V3-%C3%B3-ISO20000 19 Cuyo nombre en inglés es International Organization for Standardization), nacida tras la Segunda Guerra Mundial (23 de febrero de 1947), es el organismo encargado de promover el desarrollo de normas internacionales de fabricación, comercio y comunicación para todas las ramas industriales a excepción de la eléctrica y la electrónica. Su función principal es la de buscar la estandarización de normas de productos y seguridad para las empresas u organizaciones a nivel internacional, tomado de Wikipedia..

(30) 22. b) ISO-20000 Certificación en la Gestión de Servicios de TI desde el año 2005, basada en la BS 15000.. Dentro de este entorno de prestación de servicios el tema de la seguridad dentro de ITIL esta vista desde el cliente y la calidad de un servicio determinado, esto se encuentra resumido en un capítulo de la librería de ITIL denominada Gestión de la seguridad.. El capítulo Gestión de la Seguridad en resumen no se enfoca en toda la infraestructura o en la seguridad organizacional, sino en las especificaciones y requerimientos de seguridad que consten en los acuerdos, principalmente en los SLA20. Es así que el enfoque de ITIL es poco abarcativo dentro de este entorno sin embargo a dejado abierta las puertas para que otras buenas prácticas o estándares entren en este proceso como las ISO de seguridad o CoBIT, del cual expondré más adelante.. Ahora como determino el nivel de madurez de un proceso de ITIL pues simplemente comprando las practicas internas para la administración de TI frente a lo dictan las mejores prácticas en la industria y si estas se siguen o no, a esto se lo denomina análisis GAP. Sin embrago es de esperarse que las propias implementaciones de las empresas difieran un poco dependiendo de la realidad interna de cada organización y de su adaptabilidad a estos cambios.. 4.2.1. COBIT. (Control Objectives for Information and related Technology | Objetivos de Control para tecnología de la información y relacionada).. 20. Service Level Agreement, también conocido por las siglas ANS o SLA, es un contrato escrito entre un proveedor de servicio y su cliente con objeto de fijar el nivel acordado para la calidad de dicho servicio.

(31) 23. Creado por ISACA21 y la ITGI22 con la finalidad de alinear la tecnología con objetivos organizacionales. El uso de tecnología y su dependencia para alcanzar objetivos ha ido volviéndose fundamental para la supervivencia de las empresas. Las empresas necesitan de provisión eficaz de información para el desarrollo normal de sus procesos de negocio, esta información radica fundamentalmente en tecnología23, y cada empresa tiene sus propios requerimientos de información dependiendo de su naturaleza.. ¿Pero cómo satisfacer las necesidades de información de las empresas para que estas puedan cumplir con su objetivos?, o dicho de otra manera, ¿Cómo alineamos el entorno de TI a las necesidades empresariales de crecimiento y desarrollo económico?. COBIT relaciona los recursos de TI con los objetivos organizacionales proponiendo “Objetivos de Control de alto nivel” agrupados en 4 dominios, que pueden ser mapeados en cualquier organización sea cual sea su naturaleza y que requiera alineación tecnológica-objetivos organizacionales como apoyo para alcanzar sus metas empresariales. Un control por su parte son: Las políticas, procedimientos, prácticas y estructuras organizacionales diseñadas para proveer aseguramiento razonable de que los objetivos del negocio serán alcanzados y de que se prevendrán o se detectarán y corregirán los eventos no deseados.. CoBIT se encuentra dividido en 4 dominios los cuales son: • Planeación y Organización (PO) Este dominio cubre la estrategia y las tácticas y se refiere a la identificación de la forma en que la tecnología de información puede contribuir de la mejor manera al logro de los objetivos del negocio. Además, la consecución de la visión estratégica necesita ser planeada, comunicada y administrada desde diferentes perspectivas. Finalmente, deberán establecerse una organización y una infraestructura tecnológica apropiadas. 21. Information Systems Audit and Control Association IT Governance Institute 23 “Más del 80% de toda la información digitalizada en una empresa reside en discos duros y dispositivos personales”, The Knowledge Worker Investment Paradox”Gartner Research 07/17/2002. 22.

(32) 24. • Adquisición e Implementación (AI) Para llevar a cabo la estrategia de TI, las soluciones de TI deben ser identificadas, desarrolladas o adquiridas, así como implementadas e integradas dentro del proceso del negocio. Además, este dominio cubre los cambios y el mantenimiento realizados a sistemas existentes. • Entrega y Soporte (DS) En este dominio se hace referencia a la entrega de los servicios requeridos, que abarca desde las operaciones tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de continuidad. Con el fin de proveer servicios, deberán establecerse los procesos de soporte necesarios. Este dominio incluye el procesamiento de los datos por sistemas de aplicación,. frecuentemente. clasificados. como. controles. de. aplicación. • Monitoreo (M) Todos los procesos necesitan ser evaluados regularmente a través del tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de control.24 Cada uno de estos dominios tiene su propio conjunto de objetivos de control25 teniendo al final un total de 34. El tema de seguridad se encuentra dentro del dominio de Entrega de Soporte (Delivery and Support, DS) en un objetivo de control de alto nivel denominado “Garantizar la Seguridad de los Sistemas” donde se encuentran además objetivos de control de bajo nivel que sirven para poder alcanzar el primero. Entre los más representativos por ejemplo se pueden encontrar: • Manejo de las Medidas de Seguridad • Identificación, Autenticación y Acceso • Administración de Cuentas de Usuario • Revisión Gerencial de Cuentas de Usuario 24. Tomado de CoBIT 3.0 Un objetivo de control se halla definido como una expresión del resultado o propósito deseado a ser alcanzado mediante la implementación de procedimientos de control en una actividad particular de TI. Los procedimientos de control son simplemente los controles establecidos para que los recursos de TI entreguen al negocio la información y el apoyo conforme a las necesidades de la empresa. 25.

(33) 25. • Control de Usuario de las Cuentas de Usuario • Vigilancia de Seguridad • Clasificación de Datos • Administración Centralizada de Identificación y Derechos de Acceso • Reportes de Actividades de Violación y Seguridad • Manejo de Incidentes • Prevención, Detección y Corrección del Software Dañino • Arquitectura de Firewalls y Conexiones con las Redes Públicas. El nivel de cumplimiento de lo establecido en cada uno de los objetivos de bajo nivel nos dará una medida de la madurez del proceso, que está definida en CoBIT por un puntaje que varía desde 0 hasta 5 de la siguiente manera: 0.- Inexistente. La organización no reconoce la necesidad de la seguridad de TI. Las responsabilidades y las obligaciones de reportar no. están. asignadas. para. asegurar. la. seguridad.. No. están. implementadas medidas que soporten la administración de la seguridad de TI. No hay ningún reporte de seguridad de TI y ningún proceso de respuesta de las violaciones de seguridad de TI. Hay una carencia total de un proceso reconocible de administración de seguridad de sistemas. 1.- Inicial /Ad hoc La organización reconoce la necesidad de la seguridad de TI, pero la conciencia de la seguridad depende de la persona. La seguridad de TI está resuelta de manera reactiva y no se mide. Las violaciones de seguridad de TI invocan respuestas de “señalamiento” si se detectan, porque las responsabilidades no están claras. Las respuestas a las violaciones de seguridad de TI son impredecibles. 2.- Repetible pero intuitivo Las responsabilidades y obligaciones de la seguridad de TI están asignadas a un coordinador de seguridad de TI que no tiene autoridad de administración. La conciencia de seguridad.

(34) 26. es fragmentada y limitada. La información de seguridad de TI es generada, pero no es analizada. Las soluciones de seguridad tienden a responder de manera reactiva a los incidentes de seguridad de TI y adoptando propuestas de terceros, sin resolver las necesidades específicas de la organización. Se están desarrollando políticas de seguridad, pero aún se siguen usando habilidades y herramientas inadecuadas. El reporte de seguridad de TI es incompleto, engañoso y no es pertinente. 3.- Proceso definido Existe conciencia de la seguridad y la misma es promovida por la administración. Se han estandarizado y formalizados reportes de conocimientos de la seguridad. Los procedimientos de seguridad de TI están definidos y encajan en una estructura para políticas y procedimientos de seguridad. Las responsabilidades de seguridad de TI están asignadas, pero no se hacen cumplir de manera consistente. Existe un plan de seguridad de TI, que impulsa el análisis del riesgo y soluciones de seguridad. El reporte de seguridad de TI está concentrado en TI, en lugar de concentrarse en el negocio. Se realizan pruebas Ad hoc de intrusión. 4.- Administrado y medible Las responsabilidades de la seguridad de TI están claramente asignadas, administradas y se hacen cumplir. El análisis de riesgo e impacto de seguridad se lleva a cabo de manera consistente. Las políticas y prácticas de seguridad son completadas con bases específicas de seguridad. Los reportes de conocimiento de seguridad se han vuelto obligatorios. La identificación, autenticación y autorización de usuario se está estandarizando. Se está estableciendo la certificación de seguridad del personal. La prueba de intrusión es un proceso estándar y formalizado que conduce a mejoras. El análisis costo / beneficio, que soporta la implementación de medidas de seguridad, es cada vez más utilizado. Los procesos de seguridad de TI son coordinados con la función general de seguridad de la organización. El reporte de seguridad de TI está vinculado con los objetivos del negocio..

(35) 27. 5.- Optimizado La seguridad de TI es una responsabilidad conjunta del negocio y de la administración de TI y está integrada con objetivos de seguridad corporativa del negocio. Los requisitos de seguridad de TI están claramente definidos, optimizados e incluidos en un plan verificado de seguridad. Las funciones de seguridad están integradas con aplicaciones en la etapa de diseño y se les puede pedir a los usuarios finales que rindan cuenta de la seguridad a la administración. El reporte de seguridad de TI provee un aviso anticipado del riesgo cambiante y emergente, usando métodos activos automatizados de monitoreo para los sistemas críticos. Los. incidentes. son. prontamente. resueltos. con. procedimientos. formalizados de respuesta a incidentes soportados por herramientas automatizadas. Las evaluaciones periódicas de seguridad evalúan la efectividad de la implementación del plan de seguridad. Se recoge y analiza sistemáticamente la información sobre nuevas amenazas y vulnerabilidades, y se comunican e implementan prontamente los controles adecuados de mitigación. La prueba de intrusión, análisis de las causas originarias de los incidentes de seguridad y la identificación proactiva del riesgo es la base para el mejoramiento continuo. Los procesos y las tecnologías de seguridad están integrados en toda la organización.. El resultado de la medición de cada uno de los objetivos de bajo nivel nos llevará a la medición de la madurez del proceso DS526. Esta calificación es mejorable en el tiempo según el estado deseado y garantizando que los objetivos de control se seguirán conforme a lo establecido.. Tanto ITIL, COBIT y 17799 son perfectamente compatibles e independientemente de cuál se implemente es muy seguro que se esté cumpliendo algún ítem u objetivo de control de las otras 2. 26. Dentro del dominio Delevery and Suport (DS) se encuentra el subproceso DS5, Garantizar la Seguridad de los Sistemas..

(36) 28. 1.4.. PRINCIPALES INCIDENTES DE SEGURIDAD. Año tras año la CSI/FBI27 publica un estudio relacionado con los incidentes de seguridad que sufren las empresas u organizaciones principalmente situadas en los Estados Unidos de Norteamérica, es interesante observar los hallazgos realizados desde el año 2004 al 2008:. Fig 1.3, cuadro descriptivo de la evolucion de 28 incidentes de seguridad reportados desde el año 1999.. Incidente 1 Denegación de servicios 2 Robo de portátiles Fraude de 3 telecomunicaciones 4 Acceso no autorizado 5 Virus 6 Fraude Financiero 7 Abuso Interno 8 Penetración a sistemas 9 Sabotaje Robo/Perdida de 10 información de 27. 2004 39% 49%. 2005 32% 48%. 2006 25% 47%. 2007 25% 50%. 2008 21% 42%. 10% 37% 78% 8% 59% 17% 5%. 10% 32% 74% 7% 48% 14% 2%. 8% 32% 65% 9% 42% 15% 3%. 5% 25% 52% 12% 59% 13% 4%. 5% 29% 50% 12% 44% 13% 2%. 10%. 9%. 9%. 8%. 9%. La Oficina Federal de Investigación (FBI) publica, en cooperación con el Computer Security Institute (CSI), el informe sobre actividades de investigación relacionadas con los incidentes de seguridad en empresas. 28 Gráfica tomada del informe CSI/FBI Computer Crime and Security Survey del año 2008..